pnpm audit
Проверяет наличие известных проблем безопасности с установленными пакетами.
Если обнаружены проблемы безопасности, попробуйте обновить свои зависимости с помощью pnpm update. If a simple update does not fix all the issues, use overrides to force versions that are not vulnerable. Например, если lodash@<2.1.0 имеет уязвимости, используйте это переопределение версии пакета для принуждения использования lodash@^2.1.0:
overrides:
"lodash@<2.1.0": "^2.1.0"
Или, как вариант, запуст�ите pnpm audit --fix.
If you want to tolerate some vulnerabilities as they don't affect your project, you may use the auditConfig.ignoreCves setting.
Опции
--audit-level <степень серьезности>
- Тип: low, moderate, high, critical
- По умолчанию: low
Выводить сообщения только со степенью серьезности больше или равной <степень серьезности>.
--fix
Добавляет переопределения в файл package.json для принудительного использования не подверженных уязвимостям версий зависимостей.
--json
Показывать вывод в JSON формате.
--dev, -D
Проводить аудит только dev зависимостей.
--prod, -P
Проводить аудит только production зависимостей.
--no-optional
Не проводить аудит optionalDependencies.
--ignore-registry-errors
Если реестр отвечает статус-кодом отличным от 200, процесс завершится с кодом завершения 0. Поэтому процесс завершится неудачей только в том случае, если реестр действительно успешно отреагирует на найденные уязвимости.